Debian 安全報告

DSA-1905-1 python-django -- 輸入驗證不足

報告日期:
2009/10/10
受影響的軟體:
python-django
可被襲擊:
參考的安全性資料庫:
在 Debian 臭蟲追蹤系統中: 臭蟲 550457.
更詳盡的資訊:

python-django 的表單函式庫,一個高階 Python 網站開發框架,在驗證電子郵件與網址時使用了選擇不當的 regular expression。 由於不適當的回溯 ,攻擊者可以憑藉特別精心製作的電子郵件或網址,透過 django 表單函式庫驗證執行阻斷服務攻擊 (100% CPU 佔用量) 。

oldstable distribution (etch) 的 python-django,不受這個問題影響。

對於 stable distribution (lenny),這個問題已在 1.0.2-1+lenny2 版被修正。

對於 testing distribution (squeeze),這個問題很快會被修正。

對於 unstable distribution (sid),這個問題已在 1.1.1-1 版被修正。

我們建議你升級你的 python-django 套件。

修改於:

Debian GNU/Linux 5.0 (lenny)

來源:
http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2-1+lenny2.dsc
http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2.orig.tar.gz
http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2-1+lenny2.diff.gz
與硬體無關的元件:
http://security.debian.org/pool/updates/main/p/python-django/python-django_1.0.2-1+lenny2_all.deb

列出的檔案的 MD5 檢查可以由 original advisory 取得。